우아한테크코스 - 쿠키와 웹 스토리지

(1) [10분 테코톡] 파인의 쿠키와 웹 스토리지 - YouTube

 

* HTTP : 비연결성과 무상태성

* 브라우저에 저장되는 key와 value로 이루어진 작은 크기의 문자열

* 4kb크기 제한, 만료시간 설정가능(없으면 브라우저 종료시) , http요청시 따로 설정하지 않아도 자동으로 전달,

공격자가 악성 스크립트를 삽입하여 브라우저에서 실행하는  XSS공격에 취약하다( HttpOnly속성 적용하여 공격방지 ) 

사용자인 척 악성 request를 보내는 XSRF공격에 취약하다 (SameSite 속성 Strict- 같은 도메인요청, Lax - 안전한 메서드, 최상위 레벨 Navigation에서 다른 도에인이라도 쿠키를 전송) , , Secure 속성은 Https로만 통신하게함

 

웹스토리지 - HTML5부터 지원하는 브라우저에 데이터를 저장할 수 있는 API

특징1 -5MB의 정보 저장 가능 , 자동으로 서버에 전송되지 않음 , 오리진 단위로 접근이 제한: XSRF로부터 안전)

 

 

세션 vs 토큰 vs 쿠키? 기초개념 잡아드림. 10분 순삭! - YouTube

 

 

쿠키 

(3) [10분 테코톡] 디투의 쿠키와 세션 - YouTube

 

쿠기가 탈취 당하면 쿠키 값을 임의로 바꿀수 있다 , 대신 로그인 할 수 있다, 쿠키에 중요한 정보가 있다면?

 

쿠키의 보안을 위해 세션을 이용한다.

쿠키에 sessionid 외의 정보를 기록하지 않음으로써 안전성확보 

세션은 서버에 있다.(보안을 위해 서버비용, 저장공간 사용한다.)

 

세션 VS. 토큰! JWT가 뭔가요? - YouTube

 

인증은 Authentication (회원임을 인증)

인가는 Authorization (로그인이 인증되는 회원의 권한 허가)

세션은 서버 재부팅시 -> 메모리 연결 된거 다 날아간다. 하드는 세션유지가 어렵다, 데이터베이스는 속도가 느리다.

 

JSON Web Token -> JWT

JWT는 JSON 토큰만 줘버리고 서버는 안가지고 있다.

 

1번 헤더와 2번 페이로드, 그리고 3번째 '서버에 감춰놓은 비밀값' 이 셋을 

이 암호화 알고리즘에 넣고 돌리면 값이 나오고 인가를 받는다.

 

서버에 숨긴 비밀키를 보르면 JWT를 탈취해봐야 의미 없다.

JWT는 stateless 성격이고 세션은 stateful

 

JWT만으로 인가를 구현하지 않고 세션과 같이 사용한다.

 

토큰은 다른 기기에서 로그인할시 서버에서 기억할 수 없는 취약점이 있다.

 

탈취당하면 위험해서 매번 인가를 받을 때 쓰는 수명 짧은 토큰인 aceess 토큰과

액세스 토큰을 재발급할때 쓰는 토큰인 refresh토큰을 가지고 사용한다.

 

(3) [10분 테코톡] 🎡토니의 인증과 인가 - YouTube

 

인증은 회원 , 인가는 회원의 권한~!

 

1. Request Header 

2. Browser - storage(local ,session, cookie)

3. Session활용하기 - 서버가 SessionID관리 , 유효기관

사용자 많으면 세션DB과부하~!

4. JWT ( JSON Web TOken)

5. OAuth  -생략